インターネットのセキュリティーの見方

インターネットの回線を利用した通信を信用できない、どこに漏れているかわからない、という考えがあります。

だからクレジットカードのような重要な情報は、インターネットで使わない。

ある意味それは間違いではありませんが、どこに危険性があるのか、ということを筆者なりの見方でまとめてみたいと思います。

平文通信と暗号通信

インターネットには平文による通信と、暗号による通信の二つがあります。

平文とは暗号化されていず、データがそのまま読める形で通信される状態です。

これは通信の一部でも取り出すことで、内容をそのまま取得できます。

暗号化した通信は、暗号を解除する鍵を持っていない場合、一部の通信を取り出しても、これをもとの形に戻すことはできません。

平文による通信の主なものは、メールサーバー間の通信、httpsでないWebサーバの通信、FTPによる通信などです。

平文の通信では、途中で通信の内容を傍受するものがいて、通信の内容を取得して、コピーしたとしても、それを察知する方法は実質ありません。

デジタルデータは複製などを行っても、内容が変化したり、減ることはないので、盗聴されたことについてはわからない、というほかありません。

暗号化通信は、現在多くのサービスで利用されています。スマートフォンの無料通話なども、音声のデータがそのままネットワークに流れることはなく、暗号化したうえでやり取りしているものがほとんどです。

Webサーバとの通信もSSLを利用していれば、やり取りが暗号化され、サーバー側と、受け取る側の中間で通信を傍受しても、これの内容を知ることはできません。

SSLによる暗号化通信が正常に行われている場合は、このような中間者による盗聴は、実質不可能なぐらい難しいことは数学的に証明されています。

暗号化通信手段に欠陥が見つかったことは過去に何度もありますが、規格の更新や修正が行われてきています。

攻撃者が対象を絞って、セキュリティーの攻撃の計画を立て、中間者攻撃を行うことは不可能ではありませんが、攻撃側にもリスクとコストがかかることでもあり、誰もがその危険性を考慮する必要はありません。

正しい規格を正しく使っている限り、個人の利用者がインターネット通信に不安を感じる場面は、ほとんどないでしょう。

どこが一番脆弱か

通信経路の安全を確保する方法は確立していて、政府機関や大企業などの通信についても、基本的に暗号化の仕組みなどは大きく変わるものではありません。

ただ、もしも不測の脆弱性が明らかになった時も、中間に盗聴者が入れないように、開かれたインターネットではなく、閉じられたネットワークで通信をしている、という差があります。

インターネットの通信に大きな不安を抱く必要はありませんが、通信の末端、たとえばWebブラウザを利用した通信の場合は、ユーザーの利用するパソコン、そしてサーバーの側、通信の両端に脆弱性があることがほとんどです。

たとえばユーザーのパソコンがウィルスなどマルウェアに感染していて、そこから通信の内容が外部に漏えいする、あるいは、サーバー側に不正なプログラムが組み込まれていて、そこから暗号解除されたデータが漏えいしてしまう、ということです。

このような両端をエンドポイントと呼ぶことも多いですが、セキュリティーの最大の問題点はこのエンドポイントをどう守るかということになります。

たとえばソーシャルネットワークに個人情報をアップロードするとき、サーバーとブラウザの間は暗号化された通信であっても、その情報をうけて保管するソーシャルネットワークのサーバー自体にに脆弱性や、漏えいの可能性があるとき、それらの情報はユーザーが確実にコントロールできるわけではありません。

実際にあったことですが、ショッピングサイトのプログラムが不正なものに書き換えられて、SSL通信で送信されたクレジットカードなど決済情報こみの顧客情報を、自社以外の他のサーバに送信していたという例もあります。

また、直接サーバの情報にアクセスできる従業員が情報を不正に抜き出して、第三者に提供することによって対価を得ていたという事件も、多くあります。

現在ニュースに名前の挙がるエドワード・スノーデン氏も、国家がソーシャルネットワーク運営企業、OS開発企業、検索エンジン運営企業に直接働きかけ、情報を得ていたことを公表したことが問題となっており、これもやはりエンドポイントの脆弱性の大規模な例でしょう。

被害を受けないためには

クレジットカード情報をインターネットを通じて送信しない、というポリシーの方はかなりの割合でいらっしゃいますが、これは考え方としては間違っていません。

ショッピングサイトでも、通信手段など、仕組みとしては漏えいは起こりえなくとも、末端での人為的な漏えいが起こりうる可能性は十分にあります。

ただクレジットカード会社にもスキミングや、盗難、写しの偽造など、不正な利用に対抗してきた多くのノウハウがあり、不正な利用に対しては警告をだしたり、返金するなどの制度が整っています。

クレジットカードを利用する一番のメリットはこの安全網がきっちりしていることですが、それでもお金の問題ですので、神経質になることも決して間違いではありません。

代引きや銀行振り込みを使う、プリペイドカードを使うことで、クレジットカード情報の登録を行わない、ということも、コストや手間はかかりますが、これらの安全のため支払うものと考えれば、それほど高価とは言えないでしょう。

国内の企業は大企業でも、こういった個人情報、決済情報の漏えいが発覚した場合、被害者にあまり保障をおこなわないイメージがあります。

500~1,000円程度のクオカードを送って対応が終わる、という例も多く見られます。

一万人分漏えいしたとして、500円のクオカードを発送するのであれば、最低でも6~700万円はかかることになりますが、漏えいした情報は基本的に回収不能で、転売され続けることなどを考えると、個人として納得のいくものとはいいがたいです。

訴訟社会の米国などであれば、ユーザーによる集団訴訟という事態になりますので、企業としてもかなりのコストをセキュリティーや法務関係に割り当てる必要があります。

筆者としては、クレジットカードをショッピングサイトで利用することは頻繁にありますが、これらのことを考慮したうえで、利用しています。

リスクとメリット

インターネットの仕組みそのものが不完全で、安全性のないもの、という時代は過ぎ去っています。

しかし人間が絡むことですので、完全な安全というものはあり得ないでしょう。

使おうとするサービスの安全性と、それを使うメリットについて、天秤にかけて、取捨選択することが重要です。

どんな便利なサービスも、安全と盲信してつかえば危険性がありますし、すこし使い方を知れば、生活や仕事の効率を上げるものもたくさんあります。

そのような情報を得るために、時間を割くことも一つのコストにはなりますので、安全性が必要な部分では保守的に、効率が重要な部分では新しいものをつかうなど、コストとメリットを評価していく姿勢が求められると考えます。